Questa pagina è stata tradotta dall'API Cloud Translation.

Verificare l'importazione dati utilizzando le regole di test

I rilevamenti selezionati da Google Security Operations includono un insieme di serie di regole di test che consentono di verificare che i dati richiesti per ogni serie di regole siano nel formato corretto.

Queste regole di test si trovano nella categoria Test di rilevamento gestito. Ogni serie di regole convalida che i dati ricevuti dal dispositivo di test siano in un formato previsto dalle regole per la categoria specificata.

Nome serie di regole	Descrizione
Test del rilevamento gestito di Google Cloud	Verifica che i dati di Google Cloud siano stati importati correttamente dai dispositivi supportati dalla categoria Minacce Cloud. Per saperne di più, consulta la sezione Verifica l'importazione dati di Google Cloud per la categoria Cloud Threats.
Test di rilevamento gestito AWS	Verifica che i dati AWS siano stati importati correttamente dai dispositivi supportati dalla categoria Cloud Threats. Per saperne di più, consulta la sezione Verifica l'importazione dati AWS per la categoria Cloud Threats.
Test del rilevamento gestito da Linux	Verifica che i dati siano stati importati correttamente dai dispositivi supportati dalla categoria Linux Minacce. Per ulteriori informazioni, consulta la sezione Verifica dell'importazione dati per la categoria Linux Threats.
Test del rilevamento gestito da Windows	Verifica che i dati vengano importati correttamente dai dispositivi supportati dalla categoria Minacce di Windows. Per ulteriori informazioni, vedi Verificare l'importazione dati per la categoria Minacce per Windows.

Segui i passaggi in questo documento per testare e verificare che i dati in arrivo siano stati importati correttamente e che siano nel formato corretto.

Verifica l'importazione dati di Google Cloud per la categoria Cloud Threats

Queste regole aiutano a verificare se i dati di log vengono importati come previsto per i rilevamenti selezionati per le operazioni di sicurezza di Google.

La procedura seguente descrive come testare i dati utilizzando:

Regola di test dei metadati di Cloud Audit: per attivare questa regola, aggiungi una chiave di metadati personalizzati univoca e prevista a qualsiasi macchina virtuale Compute Engine che invii dati a Google Security Operations.
Regola di test di Cloud DNS: per attivare questa regola, esegui una ricerca DNS nel dominio (chronicle.security) all'interno di qualsiasi macchina virtuale che ha accesso a internet e invia i dati di log a Google Security Operations.
Regole di test di rilevamento gestito SCC: per attivare queste regole, esegui più azioni nella console Google Cloud.
Regola di test dei nodi Cloud Kubernetes: per attivare questa regola, crea un progetto di test che invii i dati di log a Google Security Operations e crea un pool di nodi univoco in un cluster Google Kubernetes Engine esistente.

Passaggio 1: Attivare le regole di test

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Fai clic su Regole e rilevamenti > Serie di regole.
Espandi la sezione Test di rilevamento gestito. Potresti dover scorrere la pagina.
Fai clic su Test di rilevamento gestito da Google Cloud nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato sia Avvisi per le regole Test di rilevamento gestito in Cloud.

Passaggio 2: Invia i dati per la regola Cloud Audit Metadata Testing

Per attivare il test, completa i seguenti passaggi:

Scegli un progetto all'interno della tua organizzazione.
Vai a Compute Engine, quindi scegli una macchina virtuale all'interno del progetto.
Nella macchina virtuale, fai clic su Modifica ed esegui le seguenti operazioni nella sezione Metadati personalizzati:
- Fai clic su Aggiungi elemento.
- Inserisci le seguenti informazioni:
  - Chiave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valore: works
- Fai clic su Salva.
Per verificare che l'avviso sia stato attivato, procedi nel seguente modo:
1. Accedi a Google Security Operations
2. Apri la pagina Rilevamenti selezionati e fai clic su Dashboard.
3. Verifica che la regola tst_GCP_Cloud_Audit_Metadata sia stata attivata nell'elenco di rilevamento.

Passaggio 3: Invia i dati per la regola di test di Cloud DNS

I passaggi seguenti devono essere eseguiti come utente IAM del progetto scelto che ha accesso a una macchina virtuale Compute Engine.

Per attivare il test, completa i seguenti passaggi:

Scegli un progetto all'interno della tua organizzazione.
Vai a Compute Engine, quindi scegli una macchina virtuale all'interno del progetto.
- Se si tratta di una macchina virtuale Linux, assicurati di disporre dell'accesso SSH.
- Se si tratta di una macchina virtuale Windows, assicurati di disporre dell'accesso RDP.
Fai clic su SSH (Linux) o RDP (Microsoft Windows) per accedere alla macchina virtuale.
Invia i dati dei test svolgendo uno dei seguenti passaggi:
- Macchina virtuale Linux: dopo aver eseguito l'accesso alla macchina virtuale utilizzando SSH, esegui uno dei seguenti comandi: nslookup chronicle.security o host chronicle.security
  
  Se il comando non riesce, installa dnsutils sulla macchina virtuale utilizzando uno dei seguenti comandi:
  - sudo apt-get install dnsutils (per Debian/Ubuntu)
  - dnf install bind-utils (per RedHat/CentOS)
  - yum install bind-utils
- Macchina virtuale Microsoft Windows: dopo aver eseguito l'accesso alla macchina virtuale utilizzando RDP, vai in un qualsiasi browser installato e vai al seguente URL: https://chronicle.security
Per verificare che l'avviso sia stato attivato, procedi nel seguente modo:
1. Accedi a Google Security Operations
2. Apri la pagina Rilevamenti selezionati e fai clic su Dashboard.
3. Verifica che la regola tst_GCP_Cloud_DNS_Test_Rule sia stata attivata nell'elenco di rilevamento.

Passaggio 4: Invia i dati per le regole di test dei nodi Cloud Kubernetes

I passaggi seguenti devono essere eseguiti come utente IAM nel progetto scelto che ha accesso alle risorse Google Kubernetes Engine. Per informazioni più dettagliate sulla creazione di cluster e pool di nodi a livello di regione, vedi Creare un cluster a livello di regione con un pool di nodi a zona singola.

Per attivare le regole di test:

Crea un progetto all'interno della tua organizzazione, denominato chronicle-kube-test-project. Questo progetto viene utilizzato solo a scopo di test.
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Vai alla pagina Google Kubernetes Engine
Fai clic su Crea per creare un nuovo cluster a livello di regione nel progetto. Configura il cluster in base ai requisiti della tua organizzazione.
Fai clic su Aggiungi pool di nodi.
Assegna al pool di nodi il nome kube-node-validation, quindi regola la dimensione del pool impostandola su 1 nodo per zona.
Elimina le risorse di test:
1. Dopo aver creato il pool di nodi kube-node-validation, eliminalo.
2. Elimina il progetto di test chronicle-kube-test-project.
Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati e fai clic su Dashboard.
Verifica che la regola tst_GCP_Kubernetes_Node sia stata attivata nell'elenco di rilevamento.
Verifica che la regola tst_GCP_Kubernetes_CreateNodePool sia stata attivata nell'elenco di rilevamento.

Passaggio 5: Invia i dati per le regole di test di rilevamento gestito SCC

I passaggi nella sezione seguente verificano che i risultati di Security Command Center e i dati correlati vengano importati correttamente e nel formato previsto.

Le serie di regole Test di rilevamento gestito SCC nella categoria Test di rilevamento gestito consentono di verificare che i dati richiesti per le serie di regole CDIR SCC avanzate vengano inviati a Google Security Operations e siano nel formato corretto.

Ogni regola di test convalida che i dati vengano ricevuti in un formato previsto dalle regole. Puoi eseguire azioni nel tuo ambiente Google Cloud per inviare dati che genereranno un avviso per le operazioni di sicurezza di Google.

Assicurati di completare le seguenti sezioni di questo documento necessarie per configurare l'accesso nei servizi Google Cloud, raccogliere i risultati di Security Command Center Premium e inviare i risultati di Security Command Center a Google Security Operations:

Per saperne di più sugli avvisi di Security Command Center descritti in questa sezione, consulta il documento di Security Command Center Indagine e risposta alle minacce.

Attiva la regola di test di persistenza SCC CDIR

Per inviare i dati che attivano questo avviso in Google Security Operations, segui questi passaggi:

Nella console Google Cloud, crea una nuova istanza VM e assegna temporaneamente l'account di servizio predefinito di Compute Engine con i privilegi Editor. Verrà rimosso al termine del test.
Quando la nuova istanza è disponibile, assegna l'Ambito di accesso a Consenti l'accesso completo a tutte le API.
Crea un nuovo account di servizio con le seguenti informazioni:
- Imposta Nome account di servizio su scc-test.
- Imposta ID account di servizio su scc-test.
- (Facoltativo) Inserisci una descrizione per l'account di servizio.
Consulta il documento Creare account di servizio per informazioni su come creare account di servizio.
Connettiti tramite SSH all'istanza di test creata nel passaggio precedente, quindi esegui il seguente comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Sostituisci PROJECT_NAME con il nome del progetto in cui è in esecuzione l'istanza Compute Engine e in cui è stato creato l'account scc-test.

L'avviso Persistence: Security Command Center anomala IAM dovrebbe attivarsi.
Accedi a Google Security Operations e apri la pagina Avvisi e IOC.
Dovresti vedere un avviso delle operazioni di sicurezza di Google denominato Avviso SCC di test: concessione anomala IAM concessa all'account di prova.
Apri la console Google Cloud ed esegui le seguenti operazioni:
- Rimuovi l'accesso all'account di test scc-test da IAM e dalla Console di amministrazione.
- Elimina l'account di servizio utilizzando il portale Account di servizio.
- Elimina l'istanza VM appena creata.

Attiva la regola di test del malware SCC CDIR

Per inviare i dati che attivano questo avviso in Google Security Operations, segui questi passaggi:

Nella console Google Cloud, connettiti tramite SSH a qualsiasi istanza VM in cui è installato il comando curl.
Esegui questo comando:
```
  curl etd-malware-trigger.goog
```
Dopo aver eseguito questo comando, dovrebbe attivarsi l'avviso Malware: Bad Domain di Security Command Center.
Accedi a Google Security Operations e apri la pagina Avvisi e IOC.
Verifica che venga visualizzato un avviso delle operazioni di sicurezza di Google denominato Test SCC Alert: Malware Bad Domain (Avviso SCC di test: dominio malware non valido).

Attiva la regola di test CDIR SCC Defense Evasion

Per inviare i dati che attivano questo avviso in Google Security Operations, segui questi passaggi:

Accedi alla console Google Cloud utilizzando un account con accesso a livello di organizzazione per modificare i perimetri di controllo di servizio VPC.
Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Fai clic su + Nuovo perimetro e configura i seguenti campi nella pagina Dettagli:
- Titolo del perimetro: scc_test_perimeter.
- Tipo di perimetro su Perimetro regolare (impostazione predefinita).
- Config Type (Tipo di configurazione) su Enforced (Applicata).
Nel menu di navigazione a sinistra, seleziona 3 Servizi limitati.
Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Google Compute Engine e fai clic su Aggiungi API Google Compute Engine.
Nel menu di navigazione a sinistra, fai clic su Crea perimetro.
Per modificare il perimetro, vai alla pagina Perimetri di servizio VPC. Per informazioni più dettagliate su come accedere a questa pagina, vedi Elencare e descrivere i perimetri di servizio.
Seleziona scc_test_perimeter, quindi Modifica perimetro.
In Servizi limitati, fai clic sull'icona Elimina per rimuovere il servizio API Google Compute Engine. Questo dovrebbe attivare l'avviso Defense Evasion: modifica perimetro dei controlli di servizio VPC in SCC.
Accedi a Google Security Operations e apri la pagina Avvisi e IOC.
Verifica che venga visualizzato un avviso di Google Security Operations denominato Test SCC Alert: impatto di modifica avviso di prova Controllo di servizio VPC.

Attiva la regola di test di esfiltrazione SCC CDIR

Per inviare i dati che attivano questo avviso in Google Security Operations, segui questi passaggi:

Nella console Google Cloud, vai a un progetto Google Cloud e apri BigQuery.

Vai a BigQuery

Crea un file CSV con i seguenti dati e salvalo nella directory home.

column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

Nel menu di navigazione a sinistra, scegli Crea set di dati.
Imposta la seguente configurazione e fai clic su Crea set di dati:
- ID set di dati impostato su scc_test_dataset.
- Tipo di località impostato su Più regioni.
- Abilita scadenza tabella: non selezionare questa opzione.
Per informazioni più dettagliate sulla creazione di un set di dati, vedi il documento BigQuery Creazione di set di dati.
Nel menu di navigazione a sinistra, a destra di scc_test_dataset, fai clic sull'icona e seleziona Crea tabella.
Crea una tabella e imposta la seguente configurazione:
- Crea tabella da: imposta su Carica.
- Seleziona file: vai alla tua directory home e seleziona il file CSV che hai creato in precedenza.
- Formato file: impostalo su CSV.
- Set di dati: impostato su css_test_dataset.
- Tipo di tabella: imposta su Tabella nativa.
Accetta la configurazione predefinita per tutti gli altri campi e fai clic su Crea tabella.

Per informazioni più dettagliate sulla creazione di una tabella, vedi il documento di BigQuery Creare e utilizzare tabelle.
Nell'elenco delle risorse, seleziona la tabella css_test_dataset, poi fai clic su Query e scegli in Nuova scheda.
Esegui questa query:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Sostituisci TABLE_NAME con il nome completo della tabella.
Dopo l'esecuzione della query, fai clic su Salva risultati, quindi scegli CSV su Google Drive. Questo dovrebbe attivare l'avviso Esfiltrazione: esfiltrazione di BigQuery su Google Drive. Il risultato di Security Command Center deve essere inviato a Google Security Operations e attivare un avviso Google Security Operations.
Accedi a Google Security Operations e apri la pagina Avvisi e IOC.
Verifica che venga visualizzato un avviso delle operazioni di sicurezza di Google denominato Avviso SCC di test: esfiltrazione BigQuery su Google Drive.

Passaggio 6: Disattivare le regole di test

Al termine, disabilita le regole Test di rilevamento gestito di Google Cloud.

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Disattiva sia Stato sia Avvisi per le regole Test di rilevamento gestito di Google Cloud.

Verifica l'importazione dati AWS per la categoria Cloud Threats

Puoi utilizzare le regole di test di AWS Managed Detection Testing per verificare che i dati AWS vengano importati in Google Security Operations. Queste regole di test consentono di verificare che i dati AWS siano stati importati e che siano nel formato previsto. Dopo aver configurato l'importazione dei dati AWS, esegui in AWS azioni che dovrebbero attivare le regole di test.

L'utente che attiva queste regole in Detection Engine deve disporre dell'autorizzazione IAM curatedRuleSetDeployments.batchUpdate.
L'utente che esegue la procedura per inviare i dati AWS deve disporre delle autorizzazioni AWS IAM per modificare i tag di un'istanza EC2 nell'account scelto. Per ulteriori informazioni sul tagging delle istanze EC2, consulta il documento di AWS Codifica delle risorse Amazon EC2.

Abilita le regole di test di AWS Managed Detection Testing

In Google Security Operations, fai clic su Rilevazioni > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
Seleziona Managed Detection Testing (Test di rilevamento gestito) > AWS Managed Detection Testing (Test di rilevamento gestito).
Sono attive sia lo stato che gli avvisi per le regole Generica ed Esatta.

Verificare che le azioni dei tag in AWS attivino la regola di test

Esegui i passaggi riportati di seguito per verificare che le azioni dei tag in AWS attivino il set di regole.

Passaggio 1: Generare un evento di log in AWS.

Scegli un account all'interno del tuo ambiente AWS.
Vai alla dashboard EC2, quindi scegli un'istanza all'interno dell'account.
All'interno dell'istanza EC2, fai clic su Azioni, quindi su Impostazioni istanza ed esegui le seguenti operazioni nella sezione Gestisci tag:
1. Fai clic su Aggiungi nuovo tag.
2. Inserisci le seguenti informazioni:
3. Chiave: GCTI_ALERT_VALIDATION_TEST_KEY
4. Valore: works
5. Fai clic su Salva.

Per informazioni più dettagliate, consulta Aggiungere o rimuovere tag di istanza EC2

Passaggio 2: Verifica che vengano attivati gli avvisi di prova.

Dopo aver eseguito l'attività nel passaggio precedente, verifica che sia attivata la regola AWS CloudTrail Test Rules (Regola di test AWS CloudTrail). Questo indica che i log di CloudTrail sono stati registrati e inviati a Google Security Operations come previsto. Per verificare l'avviso, procedi nel seguente modo:

In Google Security Operations, fai clic su Rilevazioni > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
Fai clic su Dashboard.
Nell'elenco dei rilevamenti, verifica che la regola tst_AWS_Cloud_Trail_Tag sia stata attivata.

Verificare che i risultati di esempio di AWS GuardDuty attivino le regole di test

Per assicurarti che gli avvisi GuardDuty funzionino come previsto nel tuo ambiente, puoi inviare i risultati di esempio di GuardDuty alle operazioni di sicurezza di Google.

Passaggio 1: Generare dati sui risultati di esempio di GuardDuty.

Vai alla home page della console AWS.
In Sicurezza, identità e conformità, apri GuardDuty.
Vai alle Impostazioni di GuardDuty.
Fai clic su Genera risultati di esempio.

Per ulteriori informazioni su come generare risultati di GuardDuty di esempio, consulta Generazione di risultati di esempio in GuardDuty.

Passaggio 2: Verifica che gli avvisi di prova siano stati attivati.

In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
Fai clic su Dashboard.
Verifica che la regola di test AWS CloudTrail sia stata attivata nell'elenco di rilevamento.

Disabilita le serie di regole di test di rilevamento gestito AWS

In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
Seleziona le regole Managed Detection Testing (Test di rilevamento gestito) > Test di rilevamento gestito di AWs.
Disattiva sia Status (Stato) che Avvisi per le regole Generica ed Esatta.

Verifica l'importazione dati per la categoria Linux Threats

Le regole di Test del rilevamento gestito di Linux verificano che il logging su un sistema Linux funzioni correttamente per i rilevamenti selezionati da Google Security Operations. I test prevedono l'utilizzo del prompt Bash in un ambiente Linux per eseguire vari comandi e possono essere eseguiti da qualsiasi utente che abbia accesso al prompt Bash di Linux.

Passaggio 1: Attivare le regole di test

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Fai clic su Regole e rilevamenti > Serie di regole.
Espandi la sezione Test di rilevamento gestito. Potresti dover scorrere la pagina.
Fai clic su Linux Managed Detection Testing nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato sia Avvisi per le regole Test di rilevamento gestito di Linux.

Passaggio 2: Invia dati di test da un dispositivo Linux

Per attivare le regole di test per il test del rilevamento gestito di Linux, segui questi passaggi:

Accedi a qualsiasi dispositivo Linux su cui vengono inviati i dati a Google Security Operations.
Apri una nuova interfaccia a riga di comando del prompt Bash di Linux come qualsiasi utente.
Inserisci il seguente comando e premi Invio:

/bin/echo hello_chronicle_world!

Devi usare il programma binario echo, anziché il comando echo integrato nella shell di Linux.

Inserisci il seguente comando e premi Invio:

sudo useradd test_chronicle_account
Rimuovi l'account di prova creato nel passaggio precedente. Esegui il comando:

sudo userdel test_chronicle_account
Inserisci il seguente comando e premi Invio:

su
Quando viene richiesta la password, inserisci una stringa casuale. Nota che viene visualizzato il messaggio su: Authentication failure.
Chiudi la finestra Bash.

Passaggio 3: Verificare che siano stati attivati avvisi nelle operazioni di sicurezza di Google

Verifica che il comando abbia attivato le regole *tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation nelle operazioni di sicurezza di Google. Questo indica che i log Linux sono scritti e inviati come previsto. Per verificare l'avviso in Google Security Operations, segui questi passaggi:

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Fai clic su Dashboard.
Verifica che le regole tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation siano state attivate nell'elenco di rilevamento.

Nota: potrebbe volerci un po' di tempo prima che l'avviso venga visualizzato in Google Security Operations.

Passaggio 4: Disattivare le regole di test

Al termine, disabilita le regole Linux Managed Detection Testing.

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Disattiva sia Stato sia Avvisi per le regole Test di rilevamento gestito di Linux.

Verifica l'importazione dati per la categoria Minacce Windows

La regola di test dell'eco di Windows verifica che il logging di Microsoft Windows funzioni correttamente per i rilevamenti selezionati da Google Security Operations. Il test prevede l'utilizzo del prompt dei comandi in un ambiente Microsoft Windows per eseguire il comando echo con una stringa prevista e univoca.

Puoi eseguire il test dopo aver eseguito l'accesso come qualsiasi utente che ha accesso al prompt dei comandi di Windows.

Passaggio 1: Attivare le regole di test

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Espandi la sezione Test di rilevamento gestito. Potresti dover scorrere la pagina.
Fai clic su Test di rilevamento gestito da Windows nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato sia Avvisi per le regole Test di rilevamento gestito da Windows.

Passaggio 2: Inviare i dati dei test da un dispositivo Windows

Per attivare la regola di test dell'eco di Windows:

Accedi a qualsiasi dispositivo che genera dati da inviare al team operativo di sicurezza di Google.
Apri una nuova finestra del prompt dei comandi di Microsoft Windows come qualsiasi utente.
Inserisci il seguente comando senza distinzione tra maiuscole e minuscole e premi Invio:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Chiudi la finestra del prompt dei comandi.

Passaggio 3: Verificare l'attivazione di un avviso

Verifica che il comando abbia attivato la regola tst_Windows_Echo in Google Security Operations. Questo indica che il logging di Microsoft Windows invia i dati come previsto. Per verificare l'avviso in Google Security Operations, segui questi passaggi:

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Fai clic su Dashboard.
Verifica che la regola tst_Windows_Echo sia stata attivata nell'elenco di rilevamento.

Nota: si verificherà un leggero ritardo nella visualizzazione dell'avviso in Google Security Operations.

Passaggio 4: Disattivare le regole di test

Al termine, disabilita le regole Test di rilevamento gestito da Windows.

Accedi a Google Security Operations.
Apri la pagina Rilevamenti selezionati.
Disattiva sia Stato sia Avvisi per le regole Test di rilevamento gestito da Windows.